Um estudo recente publicado pela Associação Americana de Contabilidade conclui que existe um custo muito real para as empresas que não podem proteger as informações pessoais dos seus clientes. Para além de qualquer dano à reputação, o estudo conclui que os bancos americanos aplicam efectivamente uma penalização financeira às empresas que tenham sofrido violações de dados.
Em causa estão as violações de dados em que os dados pessoais, tais como informações de contas financeiras de clientes ou números da segurança social, são roubados ou tornados públicos inadvertidamente.
“Sabíamos que as violações de dados eram importantes, mas queríamos encontrar uma forma de quantificar as suas consequências financeiras”, diz Henry Huang, co-autor do estudo e professor associado de contabilidade na Universidade de Yeshiva. “Também queríamos saber quais as variáveis que entram em jogo. Por exemplo, aprendemos que há coisas que as empresas podem fazer para mitigar os danos após uma quebra de dados”.
Especificamente, os investigadores queriam saber se as empresas que tinham sofrido violações de dados enfrentavam requisitos adicionais quando tentavam garantir empréstimos bancários. Para o efeito, os investigadores recorreram a dados relativos a 1.081 empréstimos bancários a empresas cotadas na bolsa entre 2003 e 2016: 587 empréstimos foram concedidos a empresas que tinham sofrido uma violação de dados; 494 empréstimos foram concedidos a empresas que não o tinham feito.
Para garantir que estavam a ver o impacto da violação de dados, e não outros factores, os investigadores combinaram cada empresa que tinha sofrido uma violação com outra empresa que tinha características semelhantes, mas que não tinha sofrido uma violação.
Os resultados foram claros: os bancos cobraram taxas de juro substancialmente mais elevadas às empresas que tinham sofrido uma quebra de dados, em comparação com as empresas que não o tinham feito. Vários factores poderiam piorar a situação. Se a violação envolvia dados sobre muitas pessoas, o efeito era exacerbado. O efeito era também exacerbado se a violação fosse o resultado de hacking criminal – em vez de um erro.
O efeito foi também mais pronunciado para empresas de um subconjunto de indústrias “vulneráveis”: saúde, serviços pessoais, serviços empresariais, informática, equipamento electrónico, e transporte. Por último, as empresas com boa reputação em termos de qualidade informática pioraram após uma violação de dados – porque os bancos tiveram de fazer um maior ajustamento na sua avaliação da segurança da empresa.
Além disso, os bancos também exigiram mais garantias e mais convénios de empresas que tinham sofrido violações.
“Contudo, também identificámos acções correctivas que mitigaram o impacto adverso das violações de dados”, diz Chong Wang, co-autor do estudo e professor assistente de contabilidade na Universidade Politécnica de Hong Kong. Exemplos destas acções incluem a retenção de um terceiro para resolver a violação de dados e o desenvolvimento de planos para melhorar a segurança informática.
“Uma mensagem de take-away é que as empresas, especialmente as de indústrias vulneráveis, devem investir mais em segurança de dados, a fim de evitar penalizações dispendiosas nos mercados de capitais”, diz Wang.
“Há aqui também lições valiosas para contabilistas e auditores”, diz Huang. “Destaca a consequência de diferentes tipos de violações de dados em diferentes indústrias, a importância de salvaguardar a informação confidencial, e o valor das acções correctivas após uma violação”.
O estudo, “Do Banks Price Firms’ Data Breaches?”, é publicado em The Accounting Review.
A Associação Americana de Contabilidade é a maior comunidade de contabilistas no meio académico.
Se gosta desta notícia, subscreva gratuitamente a newsletter da Security Magazine.
